BlackCat ransomvér zameraný na americké, európske maloobchodné, stavebné a dopravné organizácie

Jednotka 42 Palo Alto Networks prepustený hlboký ponor do ransomvéru BlackCat, ktorý sa objavil v polovici novembra 2021 ako inovatívny skupina ransomware-as-a-service (RaaS), ktorá využíva programovací jazyk Rust a ponúka pridruženým spoločnostiam 80 – 90 % platby výkupného.

V decembri si rodina ransomvéru, známa aj ako ALPHV, nazbierala najmenej 10 obetí, čím získala siedmy najväčší počet obetí uvedených na ich stránke úniku spomedzi skupín ransomvéru sledovaných jednotkou 42.

Povedal to Doel Santos, analytik spravodajstva o hrozbách z jednotky 42 ZDNet skupina už zaútočila na širokú škálu priemyselných odvetví vrátane stavebníctva a strojárstva, maloobchodu, doprava, komerčné služby, poistenie, stroje, profesionálne služby, telekomunikácie, autokomponenty a liečiv.

Minulý týždeň bola talianska módna značka Moncler odhalené byť obeťou BlackCat od decembra.

Okrem toho, že bol napísaný v ruštine a kódovaný v programovacom jazyku Rust, malvér sa Santosovi vynímal z mnohých ďalších dôvodov.

„Čo robí Blackcat výnimočným, je použitie ich súkromného prístupového kľúča. Väčšina skupín, na ktoré sme sa v minulosti zamerali, obsahuje priamy odkaz a kľúče vložené do vzoriek, čo uľahčuje prezeranie a potvrdenie obetí ransomvéru,“ povedal Santos.

tiež: Biely dom, EPA zverejnila 100-dňový plán kybernetickej bezpečnosti pre prevádzkovateľov vodárenských služieb

„Vzorky ransomvéru Blackcat neobsahujú kľúče. Namiesto toho ich musí predložiť prevádzkovateľ. Bez nej neexistuje žiadny spôsob, ako by externý subjekt mohol získať prístup k svojej vyjednávacej stránke alebo ju identifikovať obeť, pokiaľ nemajú presnú kópiu výkupného s presným kľúčom použitým na vykonanie ransomware."

Jednotka 42 poznamenala, že pridružené spoločnosti skupiny „zaujali agresívny prístup k pomenovaniu a zahanbovaniu obetí, pričom za niečo vyše mesiaca uviedli viac ako tucet na svojom mieste úniku“.

„Zatiaľ najväčší počet obetí skupiny tvoria americké organizácie, ale BlackCat a jej pobočky tiež zaútočili na organizácie v Európe, na Filipínach a na iných miestach,“ správa zaznamenaná.

„Používanie ransomvéru BlackCat rýchlo vzrástlo z rôznych dôvodov (pre porovnanie, AvosLocker do dvoch mesiacov odkedy sa o nich dozvedeli verejne len niekoľko obetí). Pravdepodobným faktorom je efektívny marketing pre pridružené spoločnosti. Okrem ponuky lákavého podielu na výkupných si skupina vyžiadala pridružené spoločnosti uverejňovaním reklám na fórach, ako je Ransomware Anonymous Market Place (RAMP),“ dodáva správa.

„Hoci toto nie je prvý malvér, ktorý používa Rust, je to jeden z prvých, ak nie prvý ransomvér, ktorý ho používa. Využitím tohto programovacieho jazyka ho môžu autori malvéru jednoducho skompilovať proti rôznym architektúram operačných systémov. Vzhľadom na množstvo natívnych možností je Rust vysoko prispôsobiteľný, čo uľahčuje schopnosť otáčania a individualizácie útokov."

tiež: QNAP varuje používateľov NAS pred ransomvérom DeadBolt a vyzýva zákazníkov, aby aktualizovali

Skupina tiež vydiera obete krádežou ich údajov pred nasadením ransomvéru, čím sa vyhráža únikom údajov a spustením distribuovaných útokov odmietnutia služby (DDoS).

BlackCat sa zameral na systémy Windows aj Linux, podľa Unit 42, ktorý dodal, že zaznamenal pridružené spoločnosti žiadajúce výkupné až do výšky 14 miliónov dolárov. V niektorých prípadoch pridružené spoločnosti ponúkli zľavy vo výške 9 miliónov dolárov, ak je výkupné zaplatené pred stanoveným časom. Umožňujú platiť výkupné v Bitcoinoch a Monero.

„V niektorých prípadoch operátori BlackCat používajú chat na vyhrážanie sa obeti a tvrdia, že vykonajú DDoS útok na infraštruktúru obete, ak nebude zaplatené výkupné. Keď sa objaví okrem použitia miesta úniku, táto prax je známa ako trojité vydieranie, čo je taktika, ktorú pozorovali skupiny ako napr. Avaddon a Suncrypt v minulosti,“ vysvetlila jednotka 42.

„Jednou jedinečnou vlastnosťou ransomvéru BlackCat je, že k vyjednávacím chatom majú prístup iba tí drží kľúč prístupového tokenu alebo výkupné - skupina sa snažila vyhnúť tretej strane šmírovanie."

Expert na ransomvér Recorded Future Allan Liska uviedol, že na základe niekoľkých faktorov, vrátane použitia programovacieho jazyka Rust, sa Black Cat/ALPHV javí ako skupina s dobrými zdrojmi.

Liska povedal, že skutočnosť, že skupina začala s variantmi ransomvéru zacielenými na systémy Windows, Linux a ESXi, "ukazuje úroveň sofistikovanosti."

„Rýchlo sa stali jednou z najvyšších skupín ransomvéru. Čiastočne sa to pripisuje skutočnosti, že ich ponuka RaaS je veľmi agresívna a ponúka pridruženým spoločnostiam schopnosť 80% - 90% zaplateného výkupného, ​​čo je nezvyčajne vysoké percento. Napriek skorému úspechu, nie každý pridružený podnik bol ohromený, ako ukazuje táto veľmi negatívna recenzia,“ povedal Liska. zdieľaním snímky obrazovky pridruženej spoločnosti, ktorá sa sťažovala na to, že jej spoločnosť BlackCat zakázala zacielenie na organizáciu Turkménsko.

Hoci Turkménsko nie je v SNŠ, má úzke väzby na Rusko.

Plodný #ransomware operátor známy ako FishEye aka bassterlord vyšiel z hlbokých vôd po mesiaci pauzy a zverejnil veľmi negatívnu recenziu #ALPHA (#Čierna mačka) ransomvér. 1/5 pic.twitter.com/k1Wl1liljO

— Azim Khodjibaev (@AShukuhi) 19. januára 2022

„Ich verejné ciele boli väčšie organizácie a zdá sa, že pri obchodovaní sú veľmi agresívne s vyjednávačmi a ich pridruženými spoločnosťami (napr. zákaz účasti v pridruženom programe po 2 týždňoch od nečinnosť). Uvidíme, či ich záľuba v panovačnosti prevýši lákavé percentá, ktoré ponúkajú,“ dodal Liška.